Discussion :

[Katleen Erna]

1,5 million de comptes Facebook en vente, un pirate russe fait le bonheur des réseaux de phishing

«Kirllos», un hacker russe, vient de mettre en vente 1.5 million de comptes Facebook sur un forum est-européen. Et, période de soldes oblige, il propose des prix de gros avec des tarifs attractifs : 25 dollars les 1.000 comptes avec moins de 10 amis, 45 dollars les 1.000 avec plus de 10 contacts.

Il est vraisemblable que les "utilisateurs" avec très peu ou pas de contacts aient été crées par ses soins, et les autres compromis avec un vol de mot de passe. Le pirate semble agir seul, mais les spécialistes se penchant sur le cas n'excluent pas qu'il puisse n'être qu'un intermédiaire.

Quant aux clients se ruant sur ces "bonnes occasions", il s'agit surtout de membres d'organisations criminelles qui utilisent ensuite les comptes pour du phishing ou d'autres arnaques du même type.

Il est plus facile de piéger quelqu'un en lui envoyant un message depuis le compte d'un ami ou d'une personne qu'il connaît, qu'avec les coordonnées d'un anonyme... Des études ont montré que les victimes étaient plus enclines à cliquer sur un lien leur provenant d'une connaissance que d'un inconnu. Une fois le code malicieux injecté dans la machine, celle-ci peut devenir un ordinateur zombie, partie prenante d'un botnet...

Il est donc plus que jamais important de savoir bien sécuriser son compte personnel sur un réseau social, notamment avec un mot de passe sécurisé.

Source : Le labo iDefense de VeriSign qui a repéré ces activités illégales

Actualité qui relance la question : les réseaux sociaux sont-ils suffisamment sécurisés ?

[Thorna]

La population habituelle des réseaux sociaux n'est pas de celle qui se soucie de sécurité. Ni de confidentialité. Ni de rien d'autre, finalement, que de trouver plein d'amis et de parler de tout et de rien. C'est donc la cible principale et éternelle de tous les truands et ça n'est pas près de changer !

[Toshy62]

Effectivement seul les personnes qui s'y connaissent un minimum en informatique essayent de sécuriser leur compte les autres s'en fichent.

[jaimepaslesmodozélés]

Les gens sont certainement plus enclins à divulguer des informations sensibles à des contacts qu'ils connaissent, mais Facebook n'est pas un logiciel de messagerie.
Comparons par exemple Live Messenger et la fonction de messagerie de Facebook :
- Facebook : le gugus moyen a combien, 300 "amis", en précisant que ces "amis" n'ont rien à voir avec de véritables amis.
- Live Messenger : allez, qui d'entre nous a plus d'une dizaine (ou vingtaine, pour faire plaisir) de contacts ? Là, ce sont de vrais contacts, souvent des amis ou de la famille, mais certainement 425 pseudo-"amis".

Bref, relativisons. Les chiffres sont les chiffres, et tout le monde sait combien il est facile de les interpréter à sa sauce. N'est-il pas ?

Après, n'oublions pas qui est VeriSign hein ? Il faut être ultra-naïf, sinon aimer les potins (aujourd'hui ce qui compte ce n'est plus vraiment l'actu utile, c'est le nombre de commentaires ), pour oser croire que leurs analyses sont neutres, et surtout pas orientées selon leurs intérêts.

Pour finir :
- comme ça a été dit : combien de comptes créés pour l'occasion ?
- mais aussi : combien de comptes valides ? Combien de comptes vraiment utilisés ? Non c'est juste que si ça intéresse quelqu'un, je peux lui faire une super-promo : 10.000 comptes pour 10 centimes, voiiiilà, mais je ne garantie pas que les comptes soient valides.

[madfu]

Ce serait bien de pouvoir inscrire ce thread directement sur son profil facebook...

[elmcherqui]

Ce serait bien de pouvoir inscrire ce thread directement sur son profil facebook...

deja fait

[styvsun]

La population habituelle des réseaux sociaux n'est pas de celle qui se soucie de sécurité. Ni de confidentialité. Ni de rien d'autre, finalement, que de trouver plein d'amis et de parler de tout et de rien. C'est donc la cible principale et éternelle de tous les truands et ça n'est pas prêt de changer !

+100

[jaimepaslesmodozélés]

Je ne pense pas que ce soit tout à fait exact : si les gens avaient une formation minimale en l'informatique et étaient sensibilisés à certains sujets, les choses pourraient être différentes.
Combien de jeunes disent que "sur Internet c'est pas grave, c'est pas en vrai", en parlant de l'exposition de leur vie privée ? (ces propos sont encore passé récemment dans une émission tv, en interrogeant des adolescents).
Je parle des jeunes, mais c'est valable pour toutes les tranches d'âges de la population.
Alors c'est certain, tant que l'on laissera les gens dans le flou, tant qu'on ne leur offrira pas les bagages nécessaires, tant qu'on laissera les gens croire qu'Internet est un lieu où l'on a accès à tout (en omettant le "et n'importe quoi"), les escroqueries en tout genre auront la vie belle.

Tout ça pour dire que je ne pense pas que l'internaute moyen se fiche éperdument de sa sécurité informatique et du respect de sa vie privée, c'est juste qu'il n'y connait rien, et que personne ne l'oblige à faire quoi que ce soit.
Quant à la question possible du "mais pourquoi les gens ne se forment-ils pas", la réponse me semble simple : "parce qu'on ne les y oblige pas".
Pensez-vous sérieusement que nombre de gens passeraient le permis de conduire s'il n'était pas obligatoire ? Seuls ceux dont c'est le métier (chauffeurs, pilotes) le passeraient, les autres conduiraient n'importe comment, accusant la trop grande complexité des engins en cas d'accident grave.
C'est triste mais c'est exactement le cas de l'informatique aujourd'hui

[pseudocode]

Actualité qui relance la question : les réseaux sociaux sont-ils suffisamment sécurisés ?

J'ai du mal à associer les concepts de "réseaux sociaux" et de "sécurité".

Si on parle de "garantir l'authenticité de l'utilisateur du compte" : clairement c'est non. Mais bon, ça ne me semble pas dans la priorité des réseaux sociaux de garantir que BradPitt143 est bien le vrai acteur de ciné.

Si on parle de "contrôler la diffusion d'information" : c'est non. Et de toute façon, ces réseaux sont utilisés par des gens dont le but est de divulguer des informations au plus grand nombre.

Alors, il reste quoi. Parler de la "robustesse de l'authentification" ? Bah, ce n'est pas plus sécurisé que n'importe quel système de user/pass sur le web.

[jaimepaslesmodozélés]

Pas forcément, Facebook accumule quand même les boulettes (comme par exemple ses changements de politique de confidentialité sans même avertir les utilisateurs, ce qui est tout bonnement scandaleux) depuis quelques temps, et son statut de fournisseur de réseau social n'excuse pas sa conduite.
Ce n'est pas parce que le gros du web social d'aujourd'hui est une pompe à fric/données qui se fiche totalement de ses utilisateurs que ça devrait être une fatalité. La route est longue pour arriver à un web moins pourri, longue...

Bref, la sécurité sur Facebook ? Si l'on se demande si vos infos personnelles sont bien gardées au chaud, à l'abri de tout regard, la réponse est clairement NON.
Si l'on parle de la sécurité face aux attaques de crackers, disons que ça ne semble pas être une priorité pour Facebook. Après tout cette petite news n'interpellera que ceux qui se soucient de leur sécurité (et ont les compétences requises), bref les gens qui de toute façon se gardent bien de confier leur vie privée à un tiers sans scrupule dont le but paraît évident : se faire du fric avec vos données. Facebook n'a donc rien à craindre pour sa réputation, il est et restera longtemps à la mode.

[b-yannick]

Je ne pense pas que ce soit tout à fait exact : si les gens avaient une formation minimale en l'informatique et étaient sensibilisés à certains sujets, les choses pourraient être différentes.
Combien de jeunes disent que "sur Internet ce n'est pas grave, ce n'est pas en vrai", en parlant de l'exposition de leur vie privée ? (ces propos sont encore passés récemment dans une émission Tv, en interrogeant des adolescents).
Je parle des jeunes, mais c'est valable pour toutes les tranches d'âges de la population.
Alors c'est certain, tant que l'on laissera les gens dans le flou, tant qu'on ne leur offrira pas les bagages nécessaires, tant qu'on laissera les gens croire qu'Internet est un lieu où l'on a accès à tout (en omettant le "et n'importe quoi"), les escroqueries en tout genre auront la vie belle.

Tout ça pour dire que je ne pense pas que l'internaute moyen se fiche éperdument de sa sécurité informatique et du respect de sa vie privée, c'est juste qu'il n'y connait rien, et que personne ne l'oblige à faire quoi que ce soit.
Quant à la question possible du "mais pourquoi les gens ne se forment-ils pas", la réponse me semble simple : "parce qu'on ne les y oblige pas".
Pensez-vous sérieusement que nombre de gens passeraient le permis de conduire s'il n'était pas obligatoire ? Seuls ceux dont c'est le métier (chauffeurs, pilotes) le passeraient, les autres conduiraient n'importe comment, accusant la trop grande complexité des engins en cas d'accident grave.
C'est triste mais c'est exactement le cas de l'informatique aujourd'hui

Ça me rappelle y a quelques temps un article sur une femme qui a lancé une vidéo porno et par la suite à chercher du taff. Lors de l'entretien, le patron:
"je ne vous ai pas déjà vu quelque part?" xD

[Rams7s]

A ma connaissance les derniers changements (les 2 derniers) de règles de confidentialité sur Facebook étaient indiquées en gros en haut, et avec un message d'explications.
L'un d'entre eux expliquant justement qu'ils allaient chambouler leur ancien système pour simplifier et permettre de donner aux utilisateurs un meilleur contrôle sur leurs informations. Ceci, afin d'éviter justement de dévoiler son profil à tous les gens du groupe "France" (ce qui fait quand même beaucoup beaucoup de monde).

Pour qui se donne la peine 10 minutes, on peut faire à peu près ce que l'on veut au niveau partage d'informations.
Mais lire le manuel utilisateur, c'est pas le comportement normal.Bien que ça résoudrait énormément de problème communs.

[Tankian]

A ma connaissance les derniers changements (les 2 derniers) de règles de confidentialité sur Facebook étaient indiquées en gros en haut, et avec un message d'explications.
L'un d'entre eux expliquant justement qu'ils allaient chambouler leur ancien système pour simplifier et permettre de donner aux utilisateurs un meilleur contrôle sur leurs informations. Ceci, afin d'éviter justement de dévoiler son profil à tous les gens du groupe "France" (ce qui fait quand même beaucoup beaucoup de monde).

Pour qui se donne la peine 10 minutes, on peut faire à peu près ce que l'on veut au niveau partage d'informations.
Mais lire le manuel utilisateur, c'est pas le comportement normal. Bien que ça résoudrait énormément de problèmes communs.

Ah oué tu trouves ? Personnellement, avec l'ancienne politique de sécurité, en trois clics j'avais fait en sorte que rien n'apparaisse sur mon mur, aujourd'hui tu ne peux supprimer automatiquement le fait que tu ecrives sur le mur de quelqu'un ou que tu sois taggué sur une photo par exemple... c'est bien dommage !

[djouk]

[lun4t1k]

Le plus intéressant est de savoir qu'il a utilisé une faille de type sql injection et que facebook n'a toujours pas fixé sa faille

Bien content de pas faire partie de facebook ^^

Pour les comptes affectés, je dirais, changez de mot de passe. Mais si le pirate a trouvé un moyen de récupérer un dump et que facebook ne fixe pas la faille ...

[user25]

Moi ça me met en rogne cette histoire ! Ça fait plusieurs mois que l'information comme comme quoi il y a des possibilités d'injections est sortie et ce n'est toujours pas corrigé !

Je suis inscrit sur facebook, j'ai un mot de passe de malade de 15 caractères avec des lettres en majuscules et en minuscules et des chiffres et j'en suis encore à me demander si c'est suffisant.

De toute façon s’ils ont accès à la base de données, c'est mort. Je pourrais avoir un mot de passe polymorphe (je sais pas comment) ça ne changerait rien.

J'aimerais quitter facebook, mais mes amis qui son vrais et que je ne voie plus que par là ne sont pas au courant de ces problèmes de sécurité et je ne vais même pas leur en parler parce que ça ne changera rien et ils resteront inscrits.

Et je suis partagé entre l'envie de rester en contact avec eux et l'envie de quitter facebook.